Просто есть несколько общих вопросов об уровне безопасности, которого можно ожидать при использовании паспорта для аутентификации приложения;
В настоящее время я разрабатываю свое первое приложение с использованием MongoDB, Express, React и Node.js стек. Не имея особых предварительных знаний о кибербезопасности, я провел довольно много исследований об аутентификации и о том, какие типы атак могут происходить на моем сайте. Я решил использовать систему аутентификации на основе cook ie с паспортом. js npm и разработал свой маршрут / login так, чтобы пароль и имя пользователя сначала передавали паспорт .authenticate ('local ', ....) промежуточного программного обеспечения перед созданием сеанса и готовить ie.
Чтобы сохранить текущего пользователя в моем приложении реакции, у меня есть функция, которая запрашивает сервер предоставить ему текущий активный сеанс паспорта, если он есть - и это, похоже, работает, поскольку он не будет поддерживать состояние входа в систему, если пользователь удалит сеанс cook ie из своего браузера.
Я немного скептически отношусь к паспорту и мне любопытно узнать, насколько легко это может быть взломано кем-то, кто имеет более высокое понимание того, как это работает, поэтому меня интересует несколько вещей:
Является ли этот тип безопасная настройка аутентификации?
Существуют ли какие-либо дополнительные требования, которые необходимо выполнить, чтобы паспорт стал легальным timeate метод аутентификации для приложения?
Считается ли использование паспорта для аутентификации пользователей плохой практикой? Будет ли демонстрация приложения, которое аутентифицирует пользователей с помощью пакета npm, выглядело бы плохо, если бы я продемонстрировал это приложение потенциальному работодателю? настройки кода, хотя я бы предпочел не делать этого, если это вообще возможно. Будем очень признательны за любой совет, спасибо!
TL; DR: Является ли паспорт. js безопасным методом аутентификации пользователей? Используется ли паспорт. js для этой плохой практики?